Lê Triệu Phú
Intern
A. Cơ chế phát hiện dựa trên chữ ký
Chi tiết các bước:
B. Cơ chế phát hiện bằng heuristic
Hai hướng heuristic chính trong Kaspersky
[Đối tượng (file/process) -> Pre-scan]
↓
[Static Heuristic Engine]
- Giải nén/Unpack
- Phân tích mã & cấu trúc
- Gán điểm nguy cơ (score)
↓
[Nếu score cao hoặc chưa kết luận]
↓
[Dynamic Heuristic / Emulation]
- Chạy trong môi trường ảo
- Ghi nhận hành vi (API call, Registry, Network)
- So khớp rule & ML model
↓
[Verdict]
→ Malicious / Suspicious / Clean
Thành phần kỹ thuật nổi bật của Kaspersky
C. Cơ chế phát hiện dự trên hành vi
Thành phần cốt lõi trong Kaspersky
[Process/Thread khởi chạy]
↓
[Hook API & Event Monitor]
- Ghi nhận gọi API, thao tác file, registry, network
↓
[Correlation & Behavior Rules]
- So khớp chuỗi hành động với tập rule & ML model
↓
[Risk Scoring]
- Tính điểm nguy cơ, so với ngưỡng
↓
[Verdict]
- Block / Quarantine / Allow
↓
[Remediation]
- Rollback thay đổi (System Watcher)
Chi tiết:
Chi tiết các bước:
- Intercept: Module real-time protection chặn sự kiện (file write, process launch, email receive).
- Preprocessing: Chuẩn hóa định dạng, đọc header, tính hash.
- Unpacking: Giải nén file nén, giải mã packer, trích xuất macro hoặc tài liệu OLE.
- Signature Match:
- So khớp byte-pattern, hash, hoặc rule trong cơ sở dữ liệu.
- Sử dụng index & Bloom filter để tra cứu cực nhanh.
- Action: Nếu khớp → cách ly, xóa, hoặc sửa (disinfection). Nếu không khớp → chuyển sang heuristic/behavior/KSN.
- Khi nghi ngờ, Endpoint gửi hash/metadata lên KSN để hỏi verdict trong vài trăm ms.
- Nếu KSN đã biết file độc hại, KES nhận verdict “malicious” và hành động ngay, dù chưa kịp có chữ ký offline.
B. Cơ chế phát hiện bằng heuristic
Hai hướng heuristic chính trong Kaspersky
- Static (code/structure heuristic): Phân tích file chưa chạy: giải nén, đọc header PE, phân tích entropy, API imports, macro, script.
- Dynamic (behavioral heuristic / emulation): Thực thi trong sandbox/engine ảo (iChecker/iSwift) để quan sát hành vi: tạo process ẩn, sửa registry startup, inject DLL.
- Trong Kaspersky, 2 hướng này kết hợp với System Watcher (một module behavior monitoring) để tạo thành lớp phòng thủ heuristic hoàn chỉnh.
[Đối tượng (file/process) -> Pre-scan]
↓
[Static Heuristic Engine]
- Giải nén/Unpack
- Phân tích mã & cấu trúc
- Gán điểm nguy cơ (score)
↓
[Nếu score cao hoặc chưa kết luận]
↓
[Dynamic Heuristic / Emulation]
- Chạy trong môi trường ảo
- Ghi nhận hành vi (API call, Registry, Network)
- So khớp rule & ML model
↓
[Verdict]
→ Malicious / Suspicious / Clean
Thành phần kỹ thuật nổi bật của Kaspersky
- iChecker / iSwift: Cơ chế caching + quyết định nhanh file “không đổi” để giảm scan lặp, nhưng vẫn kết hợp heuristic khi cần.
- System Watcher: Theo dõi hành vi runtime (process injection, encryption pattern) và có khả năng rollback ransomware.
- Machine Learning models: Phân loại file bằng các đặc trưng tĩnh (size, entropy, API graph).
- Cloud Kaspersky Security Network (KSN): Nếu heuristic đánh giá “suspicious”, hash/metadata gửi lên KSN để lấy verdict cộng đồng, giảm false positive.
C. Cơ chế phát hiện dự trên hành vi
Thành phần cốt lõi trong Kaspersky
- System Watcher: “Trái tim” của behavior detection: giám sát mọi hoạt động hệ thống theo thời gian thực, có khả năng rollback dữ liệu bị mã hóa.
- Behavioral Analysis Engine: Áp dụng các luật hành vi, mô hình học máy để phân loại tiến trình.
- Exploit Prevention: Theo dõi các hành vi khai thác lỗ hổng ứng dụng (browser, Office, plugin).
- KSN (Kaspersky Security Network): Đối chiếu sự kiện hành vi với dữ liệu đe dọa đám mây toàn cầu để tăng độ chính xác.
[Process/Thread khởi chạy]
↓
[Hook API & Event Monitor]
- Ghi nhận gọi API, thao tác file, registry, network
↓
[Correlation & Behavior Rules]
- So khớp chuỗi hành động với tập rule & ML model
↓
[Risk Scoring]
- Tính điểm nguy cơ, so với ngưỡng
↓
[Verdict]
- Block / Quarantine / Allow
↓
[Remediation]
- Rollback thay đổi (System Watcher)
Chi tiết:
- Hooking & Monitoring:
- Kaspersky cài driver kernel & hook API quan trọng (NtCreateFile, RegSetValue, CreateRemoteThread…).
- Ghi lại thời gian, tần suất, chuỗi hành động.
- Correlation Engine:
- So sánh pattern với rule nội bộ: ví dụ “liên tục ghi >100 file + đổi đuôi .lock” → ransomware.
- Machine Learning/Scoring:
- Thuộc tính như entropy của file ghi mới, tốc độ ghi, hành vi mạng → tính điểm.
- Response:
- Cách ly process, chặn kết nối, phục hồi file từ snapshot (rollback).
- Ransomware: Tạo nhiều file .tmp → đổi đuôi hàng loạt, xóa shadow copy.
- Privilege escalation: Gọi API kernel hiếm, sửa token quyền.
- Lateral movement: Sử dụng PsExec/WMI bất thường, quét subnet.
- Fileless malware: PowerShell tải script từ memory, registry runkey ẩn.
- Exploit: Heap spray, shellcode pattern, ROP chain.
Bài viết liên quan